Documente Academic
Documente Profesional
Documente Cultură
FACULTATEA DE HIDROTEHNICA
AUTOMATICA SI INFORMATICA APLICATA
REFERAT
VIRUSII CALCULATOARELOR
Student:
Popescu Andrei-Cezar
AIA IV
Ce este un virus de calculator ?
Istoria virusilor
Istoria viruşilor de calculatoare este lungă şi interesantă. Dar ea a devenit cu adevărat
palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor. Pe măsură ce
dezvoltarea acestor calculatoare noi progresa, a devenit posibilă si accesarea a mai mult de un
program într-un singur computer. În acelaşi timp, s-a manifestat şi o reacţie împotriva a tot ceea
ce însemna computerul. Această tendinţă are rădăcini mai vechi, dar impactul computerelor de
tip PC a fost aşa de mare, încât si reacţiile împotriva acestora au început să se facă mai evidente.
Iată o scurtă dar spectaculoasă evoluţie a fabricării în serie în toate colturile lumii si lansării
pe piaţă a viruşilor:
1949
Sunt puse pentru prima oara bazele teoriilor legate de programele care se autoreproduc.
1981
Virusii Apple 1, 2, si 3 sunt printre primii virusi "in the wild". Descoperiti in sistemul de
operare Apple II, virusii se raspandesc in Texas A&M prin intermediul jocurilor piratate.
1983
In teza sa de doctorat, Fred Cohen defineste pentru prima oara formal un virus de
calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr-
un mod care presupune abordarea unor copii evoluate ale lor."
1986
Doi programatori Basit si Amjad(frati pakistanezi) au descoperit că un anumit sector
dintr-un floppy disk conţine un cod executabil care funcţiona de câte ori porneau computerul cu
discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un
program propriu.Floppy-urile infectate aveau "© Brain" ca eticheta de disc (volume label).
Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de
pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un
floppy disc.
Tot in acelasi an, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier
putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier
. El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si
a distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui
an . VIRDEM ar fi infestat orice fisier COM . Din nou pagubele erau destul de nesemnificative .
Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .
In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda
a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit Charlie
si s-a facut multa publicitate in jurul acestei descoperiri . Ralf Burger a obtinut o copie a acestui
virus si i-a dat-o unui prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand
cineva a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a
scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagubele pe care
le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa
rebooteze calculatorul (virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit
acest cod de rebootare cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc
sa-l rebooteze .
1987
Programatorii de la Universitatea din Delaware au constatat ca au virusul lansat de cei
doi programatori Basit si Amjad cand au vazut eticheta "© Brain" pe o discheta . Tot ce facea el
era sa se autocopie si punea o eticheta de volum pe discheta.
Tot in 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub
numele de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut sa se
raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM si crea multe
pagube gazdei, dupa numai patru reproduceri .
In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a
fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in memorie , ce putea sa
infecteze orice fisier COM - o strategie de infectare mult mai buna decat strategiile utilizate de
virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate ‘ drive-urile’ si din toate
directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele EXE, dar a fost primul
de acest fel din lume . Cea de-a treia incercare Suriv-03, un virus ce ataca atat fisierele EXE, cat
si cele COM .
Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a
gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand se
booteaza de pe o discheta infectata, virusul se declanseaza si pe monitor aparea mesajul ‘PC-ul
tau este acum impietrit’ de unde si numele virusului (STRONED). Virusul in sine avea
dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit
cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum Stoned.Standard.A
, fiind si astazi in topul celor mai raspanditi virusi .
In Italia, la Universitatea din Torino, un programator a scris si el un virus de sector
boot . Daca discul era accesat, din jumatate in jumatate de ora virusul iti afisa o minge
miscatoare pe ecran (bouncing ball) . Virusul avea un defect major - nu putea sa ruleze doar pe
calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu functiona pe chipuri mai
complexe .
Un alt programator german a scris un virus foarte destept numit - Cascade (dupa literele
cazatoare pe care le afisa ) . Cea mai mare parte a virusului era encriptata, lasand doar o mica
parte necodata, curata, pentru a putea decoda restul cu ea . Rostul acestui mecanism nu a fost
destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile de
alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si
daca ar fi gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a codului nu a
functionat . Autorul a emis la putin timp dupa aceea o noua versiune a virusului, de 1074 octeti
in loc de 1701, cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare : nu
era in stare sa detecteze Bios-urile IBM .
Dintre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au rezistat pana in
zilele noastre .
1988
Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi
foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa se propulseze, dar nimeni nu
platea bani seriosi pentru o potentiala problema . Astfel, s-a dat o sansa virusilor Stoned,
Cascade si Jerusalem de a se raspandi, fara a fi descoperiti .
Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o
epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta de a-si anunta
clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost o problema foarte serioasa dar, din
acel moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing
Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .
La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o epidemie
mare de Jerusalem(Suriv-04) intr-o institutie financiara, virusul afecteaza fisierele .exe si .com
si sterge toate programele rulate in cursul acelei zile; al doilea - o firma britanica numita S&S a
tinut primul seminar pe tema virusilor, seminar care a explicat in premiera ce este un virus si
cum lucreaza el ; al treilea - a avut loc epidemia de ‘Vineri 13’ . Un lucru era clar pentru toti :
instituti financiare, grupurile academice si persoanele fizice ar putea cu usurinta sa faca fata
unei epidemii, daca ar avea uneltele necesare . Tot ce trebuia era un detector eficient de virusi,
care nu era insa disponibil .
Ca atare, a fost crea primul Anti Virus Toolkint .
1989
Un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard
disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va declansa din
nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constataca ca in orice zi
dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk, care
determina pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa
utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o
analiza a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident
in memorie . In America oameni au inceput sa-l numeasca ‘Columbus Day Virus ‘ (12
octombrie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel
Rosu a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula
un detector .
In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sunt o amenintare
serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se infecteza cu
Jerusalem, Cascade sau Stoned . ‘Ce face IBM-ul impotriva acestei amenintari ?’ , au intrebat ei
.IBM detinea un program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema
:daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi
cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata impreuna cu o
scrisoare prin care ei explicau clientilor despre ce era vorba . 13 octombrie a cazut intr-o vineri,
asa ca a fost un eveniment dub - Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si
confundat cu unul care nu este atat de periculos ca acesta . In Londra, Royal National Institute
for the Blind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de
cercetare, reprezentand luni intregi de munca . Acest eveniment a fost investigat si se
inregistrase intradevar o mica eruptie de Jerusalem si cateva fisiere usor de inlocuit au fost
sterse .
1990
Mark Washburn a analizat virusul Viena si a creat pe baza lui primul virus polimorf .
Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca exista
un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si, in primi
virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana
la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat
teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii descriptori
.
Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea de ‘infector
rapid’ . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a unui fisier
pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a doua idee
noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional
un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de timp, se
face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de nefolosit .
La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie
mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute for Computer
Antivirus Research), in decembrie 1990 . La vremea cand a fost creat EICAR existau
aproximativ 150 de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 300 de
virusi.
In luna decembrie a aceluias an Symantec lanseaza pe piata Norton AntiVirus, unul
dintre primele programe antivirus dezvoltate de catre una dintre marile companii.
1991
La sfarsitul anului existau peste 1000 de virusi.
In luna aprilie Central Point a lansat CPAV. Acesta a fost repede urmat de XTree, Fifth
Generation si altii .
Tequila este primul virus polimorf cu raspandire pe scara larga gasit "in the wild".
Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin schimbarea
modul de actiune cu fiecare noua infectie.
1992
Exista 1300 de virusi, cu aproape 420% mai multi decat in decembrie 1990. Previziunile
sumbre ale virusului Michelangelo ameninta colapsul a circa 5 milioane de calculatoare pe data
de 6 martie. Insa doar 5,000-10,000 de calculatoare se intampla sa "dea coltul".
1994
Erau inregistrati peste 4000 de virusi.
Farsa de proportii din partea email-ului hoax (alarma falsa) Good Times. Farsa se
bazeaza pe amenintarea unui virus sofisticat care e capabil sa stearga un intreg hard prin simpla
deschidere a emailului al carui subiect este "Good Times". Desi se stie despre ce e vorba, hoasul
revine la un interval de 6-12 luni.
1995
Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de
macrovirus, devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de
fabricat decât părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice,
precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi
folosiţi pentru orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au
infestat fişierele la acea vreme produsul Lotus AmiPro. Primul dintre macroviruşi a fost cel
folosit în Word si Word Basic.
Word Concept, virus de Microsoft Word, devine unul dintre cei mai raspanditi virusi din
anii '90.
1996
In luna iulie a acestui an a aparut si primul microvirus cunoscut sub numele ZM.Laroux
care era destinat distrugerii produsului Microsoft Excel.
1998
StrangeBrew, actualmente inofensiv si totusi raportat, este primul virus care infecteaza
fisierele Java. Virusul modifica fisierele CLASS adaugand la mijlocul acestora o copie a sa si
incepand executarea programului din interiorul sectiunii virusate.
Virusul Cernobal se raspandeste rapid prin intermediul fisierelor ".exe". Dupa cum o
sugereaza si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un
anumit cip din interiorul computerelor infectate.
1999
Virusul Melissa, W97M/Melissa, executa un macro dintr-un document atasat emailului,
care transmite mai departe documentul la 50 de adrese existente in Outlook address book.
Virusul infecteaza si documente Word pe care le trimite ca atasamente. Melissa se imprastie
mult mai rapid decat alti virusi anteriori infectand cam 1 milion de calculatoare.
Bubble Boy este primul virus care nu mai depinde de deschiderea atasamentului pentru a
se executa. De indata ce userul deschide email-ul, Bubble Boy se si pune pe treaba.
2000
Love Bug, cunoscut si sub numele de ILOVEYOU se raspandeste via Outlook,
asemanator modului de raspandire al Melissei. Acest virus e primit ca un atasament .VBS,
sterge fisiere, inclusiv MP3, MP2 si JPG si trimite username-uri si parole gasite in sistem
autorului virusului.
W97M.Resume.A, o noua varianta a Melissei, este "in the wild". Virusul se comporta
cam ca Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul si pentru a se
raspandi.
Virusul Stages deghizat intr-un email gluma despre etapele vietii, se raspandeste prin
Internet. Deloc specific celorlalti virusi anteriori, Stages este ascuns intr-un atasament cu
extensie falsa .txt, momind utilizatorii sa-l deschida. Pana la aparitia sa, fisierele text erau
considerate fisiere sigure.
In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an . Din 2-3
milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii,
companiile au pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde , in 2002 pierderi de
25 de miliarde iar in 2003 - 55 miliarde . Pe 2004 100 miliarde si cifrele cresc in continuare an
de an.
Clasificarea virusilor
Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o
proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau
fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de viruşi.
Fiecare dintre aceştia avea variante: mici modificări în codul viral sau schimbarea mesajelor
afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau
aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi.
O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite
criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de
declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi.
In forma cea mai generala virusii se impart in:
• Virusi hardware
• Virusi software
Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.
Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni
cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si
cel aplicativ.
Cateva dintre efectele pe care le genereaza virusii software:
a) distrugerea unor fişiere;
b) modificarea dimensiunii fişierelor;
c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;
d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei de pe
disc;
e) diverse efecte grafice/sonore inofensive;
f) încetinirea vitezei de lucru a calculatorului pana la bloc.
Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt
aproape imposibil de studiat
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului
dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime”
si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
Odata introdus pe disc, a doua faza a vietii unui virus este autoprogramarea. Virusii
incearca sa infecteze cat mai multe programe, inainte de a ataca propriu-zis. Pentru a opera cat
mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca
o data. Pe acest principiu lucreaza si antivirusii, adica pe reperarea unei intruziuni. Ei analizeaza
unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect
major: virusul trebuie indentificat, deci tabela de semnaturi trebuie permanent reactualizata.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze
mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte
prea dramatice.
De exemplu:
Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta
“A”.
Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de
muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau
"Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante
trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu
subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la
companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de
fapt, ti-i dadea.
Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele
dupa o boala care este transmisa de catre sobolani. HPS il face pe cel infectat sa aiba probleme
respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a
fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant
este ca acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.
Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele
sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva
decat sa afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa
unele dintre cele 90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov,
Smithsonian, StonedMutation) reuseau pana la urma sa-ti blocheze computerul.
Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti
infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu
atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in
computerele tuturor curiosilor care deschideau aceste fisiere.
Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la
inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat. Dar
s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca
Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus
infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai manca
si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi frati nu
mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele, adresele,
numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacteze
pentru vaccin.
Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele
mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau
infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si
oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca
telefoane, celelalte functii inteligente fiind neoperabile.
Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004
pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat
special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu
preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru
era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana nu-ti
venea prima factura exorbitanta.
Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor:
stergeri, formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.Uneori, virusii
atacau dupa o lunga perioada de somnolenta. De exemplu,” Golden Gate” nu devine agresiv
decat dupa ce a infectat 500 de programe, “Cyber TechB” nu a actionat, in schimb, decat pana
la 31 decembrie 1993.
Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa ruleze programe
antivitus.
In manualul de utilizare al MS-DOS, Microsoft imparte virusii in trei categorii:
Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruşii nerezidenţi în
memorie nu rămân activi după ce programul infectat a fost executat. El operează după un
mecanism simplu si infectează doar executabilele atunci când un program infectat se execută.
Comportarea tipică a unui astfel de virus este de a căuta un fişier gazdă potrivit atunci când
fişierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă.
Virus parazit (Parasitic virus) - este un virus informatic, care se ataşează de alt program si se
activează atunci când programul este executat. El poate să se ataşeze fie la începutul
programului, fie la sfârşitul său, ori poate chiar să suprascrie o parte din codul programului.
Infecţia se răspândeşte, de obicei, atunci când fişierul infectat este executat. Clasa viruşilor
paraziţi poate fi separată în două: viruşii care devin rezidenţi în memorie după execuţie şi cei
nerezidenţi. Viruşii rezidenţi în memorie tind să infecteze alte fişiere, pe măsură ce acestea sunt
accesate, deschise sau executate.
Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat,
pentru a ocoli sistemele de protecţie acolo unde se instalează. El este criptat si automodificabil.
Un virus polimorfic adaugă aleator octeţi de tip "garbage" (gunoi) la codul de decriptare si/sau
foloseşte metode de criptare/decriptare pentru a preveni existenta unor secvenţe constante de
octeţi. Rezultatul net este un virus care poate avea o înfăţişare diferită în fiecare fişier infectat,
făcând astfel mult mai dificilă detectarea lui cu un scaner. Exemplu: ”Andre”,” Cheeba”,”Dark
Avenger”,”Phoenix 2000”,” Maltese Fish”,etc
Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât,
chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fişier,
să invoce o rutină "trigger" (de declanşare a unei anumite acţiuni) sau să monitorizeze
activitatea sistemului. Aproape toţi viruşii care infectează MBR-ul sunt viruşi rezidenţi. În
general, viruşii rezidenţi "agaţă" codul sistemului de operare.
Marea majoritate a viruşilor actuali folosesc tehnici de ascundere. Există si un termen des
folosit în acest domeniu; el se numeşte stealth (ascundere) si desemnează tehnicile folosite de
anumiţi viruşi care încearcă să scape de detecţie. De exemplu, un lucru pe care-l pot face viruşii
rezidenţi, este să intercepteze comenzile (funcţiile) DOS de tip DIR si să raporteze dimensiunile
originale ale fişierelor, si nu cele modificate datorită ataşării virusului. Tehnicile Spawning si
File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate.
Viruşii spioni - Pe lângă numeroşii viruşi, cunoscuţi la această oră în lumea calculatoarelor,
există o categorie aparte de astfel de "intruşi", care au un rol special: acela de a inspecta, în
calculatoarele sau reţelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la
proprietar, la o anumită dată şi în anumite condiţii, un raport complet privind "corespondenta"
pe Internet si alte "acţiuni" efectuate de către cel spionat prin intermediul calculatorului.
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce
ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de poştă electronică
şi aşteaptă cuminte până apar condiţiile unui răspuns la aceeaşi adresă. Cât timp se află în reţea,
acesta culege informaţiile care îl interesează, le codifică într-un anumit mod, depunându-le într-
o listă a sa si apoi le transmite la proprietar.
Un virus de acest gen poate pătrunde şi se poate ascunde, de exemplu, într-un fişier tip "doc"
primit printr-un e-mail. El îşi începe activitatea odată cu închiderea unui document activ, atunci
când verifică dacă acesta a fost infectat cu o anumită parte din codul său special.
Unii viruşi din această categorie îşi i-au măsuri ca să nu fie depistaţi si distruşi de programele de
dezinfectare.
Într-o secvenţă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze
diferite mesaje si acţiuni, le adaugă la lista sa secretă şi aşteaptă condiţiile ca să le transmită la
destinatar, nimeni altul decât cel care l-a expediat.
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o
adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca şi cum în casa
noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete şi
nesecrete şi, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care aşteaptă.
Din păcate, viruşii spioni sunt de multe ori neglijaţi. Nici chiar programele de dezinfectare nu
sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o
acţiune distructivă directă.
Totuşi, pagubele pot fi uneori însemnate, nemaipunând la socoteală şi faptul că nimeni pe lumea
aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine
într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare.
Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intruşi" există
şi pot pătrunde în viaţa noastră şi pe această cale.
Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reţeaua de
calculatoare a dezvoltătorilor de software ai Direcţiei Informatică din CS Sidex SA, de catre un
student.
Un program care acţionează în acest mod este cunoscut în literatura de specialitate cu numele de
spyware (spion).
O serie de viruşi de e-mail, precum celebrul Melissa, încearcă să trimită documente
confidenţiale - personale sau ale companiei la care lucraţi. Iar dacă celebrul cal troian numit
"Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului
PC oricui va solicita acest lucru.
Chiar si în condiţiile în care sistemul este bine protejat împotriva atacurilor din exterior, este
posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectaţi la
Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are
propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.
Unele programe spyware sunt instalate în mod automat atunci când vizitaţi un anumit site de
Web ce face apel la ele. Altele sunt instalate împreună cu aplicaţii de tip shareware sau
freeware. Instalarea se produce uneori fără a fi conştienţi de ea sau chiar acceptabilă prin
apăsarea butonului Yes fără citirea textului licenţei de utilizare.
Programele spyware nu sunt denumite astfel pentru că ele "fură" informaţii private ci pentru
modul secret în care acţionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea
utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de
recepţionat mesaje publicitare, afişează aceste informaţii în programele asociate si încearcă să
ajusteze mesajul publicitar preferinţelor si obiceiurilor utilizatorilor. Altele colectează
informaţii statistice pentru clienţii lor. Toate aceste programe pretind că vă protejează
informaţiile private si la o analiză atentă se dovedeşte că au dreptate. Informaţiile nepersonale
ce sunt adunate de aceste programe ar putea fi totuşi folosite într-un mod neadecvat, iar
prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.
Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in faza
primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior (de pe o
discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate recupera fisierele
infectate.
Concluzii:
• aria de actiune; memoria si fisierele de interes;
• protectia se mnifesta la primul contact cu orice fisier;
• permite dezinfectarea;
• nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de
scanare;
• timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere
protejate;
• exista alarme false, daca semnatura virusului este prea scurta;
• foloseste ca resursa memoria calculatorului;
• opereaza automat (ca un TSR).
Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite
recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier
infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.
Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele
activitati:
• prevenirea contaminarii;
• detectarea virusului;
• eliminarea virusului, cu refacerea contextului initial;
În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă
proteja sistemul împotriva viruşilor calculatoarelor :
- nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi
sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în
regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative,
până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un
sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi.
- cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor
- instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele
pe care le copiaţi în calculator.
- instalati un firewall.
- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente.
- pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.
- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit
de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-spyware pentru a spori protectia antivirus.
- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de
incredere.
- verificati in care certificate ale companiilor software puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.